Eclipse Foundation

Die Sovereign Tech Agency unterstützt die Eclipse Foundation bei der Verbesserung der Projektinfrastruktur und -sicherheit durch eine Stärkung der Software-Lieferketten im Eclipse Ökosystem. Dazu gehört die Integration von Software Bills of Materials (SBOMs) in Build-Pipelines, wodurch die Transparenz der Komponentenabhängigkeiten erhöht wird. Die kontinuierliche Überwachung von Schwachstellen und optimierte Managementprozesse dämmen Sicherheitsrisiken schnell ein und stärken die Resilienz und Nachhaltigkeit in allen Projekten der Eclipse Foundation.

Die Eclipse Foundation unterstützt wichtige Java-basierte Open Source-Technologien wie Eclipse IDE, Jakarta EE, Eclipse Jetty und Eclipse GlassFish. Die Eclipse Integrated Development Environment (IDE) unterstützt etwa 10 % der Entwickler*innen weltweit, und Jakarta EE bildet die Grundlage für Java-Applikationen der Enterprise-Klasse. Jetty, ein High-Performance-Webserver, ermöglicht skalierbare Lösungen. Die Eclipse Foundation verwaltet auch Eclipse Temurin, eine sichere OpenJDK-Distribution mit über 20 Millionen Downloads pro Monat, und GlassFish, eine cloudnative Jakarta EE-Implementierung. Darüber hinaus fördert die Eclipse SDV Working Group in Zusammenarbeit mit großen europäischen Automobilherstellern die Entwicklung von Standards für die softwaredefinierte Fahrzeugplattform.

Die Projekte der Eclipse Foundation sind für viele kritische Branchen von grundlegender Bedeutung und unterstützen die Entwicklung einer breiten Palette von Werkzeugen und Anwendungen. Der Webserver und Container Eclipse Jetty ist ein Teil davon. Über 3700 Artefakte sind im Maven Central Repository direkt von ihm abhängig. Ebenso ist Jakarta EE, eine Sammlung von Java-APIs und Spezifikationen für die Entwicklung von Unternehmensanwendungen, ein integraler Bestandteil zahlreicher Projekte, darunter Payara Server, WildFly, Apache TomEE, Spring Boot und Hibernate. Sie kommt in verschiedenen Bereichen zum Einsatz, vom Bank- und Finanzwesen über das Gesundheitswesen bis hin zur Logistik.

Eclipse IDE dient als Kernplattform für Entwicklungswerkzeuge in verschiedenen Branchen, unter anderem für Halbleiter-/System-on-a-Chip-Hersteller und Industrieausrüster wie AMIQ EDA, NXP CodeWarrior und Microchip Atmel Studio. Diese breite Akzeptanz unterstreicht die Rolle der IDE als Schlüsselfaktor für Innovation bei der Entwicklung von eingebetteten Systemen und Hardware.

Java zählt seit über 20 Jahren zu den Top 5-Programmiersprachen und wird in kritischen Anwendungen in der Luft- und Raumfahrt, der Medizintechnik, der Automobilbranche, im Finanzhandel und in der Stromnetzsteuerung eingesetzt. Sichere und quelloffene Java-Distributionen wie Eclipse Temurin sind notwendig, um Zuverlässigkeit und sicherheitskritische Anwendungen zu gewährleisten.

Die Projekte der Eclipse Foundation treiben Innovationen voran, gewährleisten die Zuverlässigkeit von Open Source-Technologien in allen Branchen und unterstützen Systeme, bei denen Sicherheit und Leistung entscheidend sind.

Der Sovereign Tech Fund beauftragt Arbeiten an zwei Schlüsselinitiativen, die auf die Verbesserung von Sicherheit, Transparenz und Schwachstellenmanagement in Projekten der Eclipse Foundation abzielen.

1. Generierung von Software Bills of Materials (SBOM): Die erste Initiative konzentriert sich auf die Integration von SBOMs in die Build-Pipelines von Eclipse Foundation-Projekten. Eine SBOM enthält alle Komponenten, Abhängigkeiten und Metadaten, die mit Softwareanwendungen verknüpft sind, und sorgt so für mehr Transparenz und Sicherheit. Die Investition unterstützt die Identifizierung der besten SBOM-Werkzeuge für verschiedene Projektkategorien, die Aktualisierung von Build-Prozessen und die Erstellung einer zentralen SBOM-Registrierung für alle Eclipse-Projekte. Darüber hinaus wird die Unterstützung der SBOM-Generierung für Eclipse IDE-Produkte entwickelt, um sicherzustellen, dass alle Benutzer*innen der Eclipse IDE für ihre Projekte SBOMs erstellen können und so von dieser wichtigen Sicherheitsmaßnahme profitieren.
2. Verbesserung des Schwachstellenmanagements: Die zweite Initiative zielt darauf ab, die Prozesse des Schwachstellenmanagements der Eclipse Foundation zu verbessern. Dazu gehört auch die Implementierung von Lösungen zur kontinuierlichen Überwachung von Schwachstellen, um Probleme in Projektabhängigkeiten schnell zu erkennen, sogar nach Software-Releases. Die Initiative konzentriert sich zudem auf die Schulung von Entwickler*innen und Maintainer*innen in Best Practices für die Analyse und Behebung von Schwachstellen. Investitionen in neue Tools wie Schwachstellen-Scanner und Management-Plattformen tragen dazu bei, den Prozess zur Bewältigung von Sicherheitsrisiken in Eclipse Foundation-Projekten zu automatisieren und zu optimieren.

Diese Bemühungen zielen darauf ab, die Sicherheitslage der Eclipse Foundation insgesamt zu verbessern, die Integrität ihrer Projekte zu stärken und die langfristige Nachhaltigkeit und Verlässlichkeit des Ökosystems zu gewährleisten.